標的型サイバー攻撃対策などの考察
標的型サイバー攻撃について考えます。(参考:R1秋 応用情報)
情報セキュリティ10大脅威の1つとして毎年あげられています。
不審なメールの添付ファイルを実行したときの対応
マルウェアの感染が判明した(または感染が疑われる)ときは、社内のネットワークから被疑PCを切り離すべきです
具体的には、まず次のことをしてください。
- パソコンのLANケーブルを抜く
- 無線LANのスイッチを切る
社内の他の機器と通信させないためです。
これにより、次のことを防ぐことができます。
- ネットワークを介して感染を広める
- 攻撃のために通信する
その後、セキュリティ担当者に報告します。
不審なメールに気づいたときにとるべき行動は
不審なメールに気が付いたときには、自組織のインシデント対応部署やセキュリティ担当に報告し、指示を仰ぐのが適切な対応です。
- 返信しない
- 添付ファイルの開封しない
- URLリンクを開かない
ファイアウォールのログを分析する
マルウェアに感染したPCがインターネット上の特定のサーバとの通信を試した場合、FWのログに通信の履歴が残ります。
標的型サイバー攻撃対策(あくまで応用情報の話)
FWによる遮断
- PCからインターネットへのアクセスに対して許可する通信を決める
PCへのマルウェア対策ソフトの導入
メールサーバにおけるメール受信対策
- メールサーバ向けマルウェア対策ソフトを導入して、届いたメールの本文や添付ファイルのチェックを行い、不審なメールを隔離する。
- SPF(Sender Policy Framework)などの送信ドメイン認証を導入する
送信ドメイン認証は、送信元メールアドレスのなりすましを検知することができる。
メールサーバにおけるメール送信対策
- PCからメールを送信する際にも、利用者認証を行う
利用者認証を行うことで、標的型サイバー攻撃の目的が情報窃取の場合、メール経由で情報が外部に漏洩する恐れを低減できる。
インターネットアクセス対策
- PCから直接インターネットにアクセスすることを禁止(FWで遮断)し、DMZに新たに設置するプロキシサーバ経由でアクセスさせる
- プロキシサーバでは、利用者IDとパスワードによる利用者認証を導入する
- プロキシサーバでは、不正サイトや改ざんなどで侵害されたサイトを遮断する機能を含むURLフィルタリング機能を導入する
水飲み場攻撃によって、マルウェアをダウンロードさせられることがある。
これは標的ユーザが良く利用するWebサイトにドライブバイダウンロードのコードなどを仕込み、アクセスした標的ユーザにマルウェアやウイルスを感染させる攻撃です。
URLフィルタリング機能を用いることで被害を軽減できる。
ログ監視対策
- ログ監視サービスを利用して、FWやプロキシサーバのログ監視を行い、不審な通信を検知する
C&CサーバがURLフィルタリング機能でアクセスが遮断されないサイトに設置された場合、プロキシサーバの利用者認証情報を窃取する機能を備えていると回避されることがある。
マルウェアとは何か
マリシャスソフトウェア(悪意のあるソフトウェア)で略してマルウェアです。
ユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフトウェアを指す。
マルウェアの種類
ウイルス
自己増殖する
宿主が必要
ワーム
自己増殖する
単独で活動
トロイの木馬
自己増殖しない
偽装して活動
スパイウェア
偽装して活動
マルウェアの感染経路
ホームページの閲覧
昔は怪しいWebサイトだけ避けていればよかったのですが、最近では正規のWebサイトが不正侵入を受け、書き換えられ、ウイルスが仕込まれるケースがあります。
その場合、正規のWebサイトを閲覧してもウイルスに感染してしまいます。
信頼できないサイトで配布されたプログラムのインストール
「あなたのコンピュータはウイルスに感染しています」のような不安をあおるメッセージを出して、利用者を偽のウイルス対策ソフトを配布するWebサイトに誘導します。
電子メールの添付ファイル
電子メールに添付されてきたファイルが悪意のあるプログラムだった場合、ウイルスに感染してしまいます。
USBメモリからの感染
USBメモリをコンピュータに差し込んだだけで自動的にプログラムが実行される仕組みが用意されています。これを悪用してコンピュータに感染するウイルスがあります。
会社のビルに見知らぬ人がいて「ここの社員の方がUSB落としましたよ」といって渡してきたUSBメモリがウイルスに感染するものだった!といった話を聞いたことがあります。
ファイル共有ソフトによる感染
別のファイルに偽装して、いつの間にかウイルスを実行させられてしまうことがあります。
電子メールのHTMLスクリプト
添付ファイルがなくても、HTML形式で書かれているメールの場合、ウイルスに感染する場合があります。
電子メールソフトの中には、HTMLメールのスクリプトを自動的に実行する設定になっているものもあり、電子メールをプレビューしただけでウイルスに感染します。
ネットワークのファイル共有
ウイルスの中には、感染したコンピュータに接続されているファイル共有ディスクを見つけ出し、特定のファイル形式など、ある条件で探し出したファイルに感染していくものです。
組織内のネットワークを通して、他のコンピュータやサーバにも侵入して感染を広げます。
マクロプログラムの実行
VBAを用いたマクロプログラムではファイルの書き換えや削除などができます。
VBAで記述されたウイルスが実行されて自己増殖などされます。
マルウェアで起こる被害
- 個人情報を抜き取られたり、情報が流出したりする
- デバイスに保存されているファイルが改ざんされる
- デバイスを勝手にロックされて持ち主でも操作ができなくなる
- 外部と勝手に通信を行う
- デバイスを乗っ取られ、サイバー攻撃の「踏み台」として使われる